亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

電信網(wǎng)絡(luò)中設(shè)定路由的方法、電信網(wǎng)絡(luò)及安全和隧道設(shè)備的制作方法

文檔序號(hào):7624403閱讀:114來(lái)源:國(guó)知局
專利名稱:電信網(wǎng)絡(luò)中設(shè)定路由的方法、電信網(wǎng)絡(luò)及安全和隧道設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種通過(guò)信令協(xié)議經(jīng)由所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻來(lái)為端用戶與服務(wù)提供商域之間的雙向端到端連接設(shè)定路由的方法,其中使用安全和隧道設(shè)備,其位于端用戶與端用戶域中具有地址轉(zhuǎn)換設(shè)備的防火墻之間的端到端連接中,并且其中使用會(huì)話邊界控制器,其位于服務(wù)提供商域中的端到端連接中,在安全和隧道設(shè)備與會(huì)話邊界控制器之間建立一個(gè)隧道,并且經(jīng)由該隧道在安全和隧道設(shè)備與會(huì)話邊界控制器之間的區(qū)域內(nèi)的端用戶與服務(wù)提供商域之間通過(guò)隧道協(xié)議進(jìn)行雙向數(shù)據(jù)交換,本發(fā)明還涉及一種用于執(zhí)行用于通過(guò)會(huì)話初始協(xié)議(SIP)經(jīng)由所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻來(lái)為端用戶與服務(wù)提供商域之間的雙向端到端連接設(shè)定路由的方法的電信網(wǎng)絡(luò),并且本發(fā)明還涉及一種用于執(zhí)行用于通過(guò)SIP協(xié)議經(jīng)由所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻來(lái)為端用戶與服務(wù)提供商域之間的雙向端到端連接設(shè)定路由的方法的電信網(wǎng)絡(luò)中的安全和隧道設(shè)備。
背景技術(shù)
在電信網(wǎng)絡(luò)中,為了建立、檢查和終止基于例如可以實(shí)現(xiàn)諸如基于IP的語(yǔ)音(VoIP)之類的語(yǔ)音服務(wù)或者實(shí)現(xiàn)多媒體數(shù)據(jù)交換的用戶數(shù)據(jù)報(bào)協(xié)議(UDP)的雙向端到端連接,優(yōu)選地使用所謂的會(huì)話初始化協(xié)議(SIP),因?yàn)橥ㄟ^(guò)這種協(xié)議,還可以比較容易地獲得諸如用于呼叫檢查之類的附加服務(wù)以及各種現(xiàn)有電話系統(tǒng)之間的移動(dòng)性和互用性。在這種情況下使用的SIP消息通常同樣通過(guò)UDP數(shù)據(jù)包來(lái)傳送。諸如“INVITE”之類的SIP協(xié)議的信令消息包括IP地址和關(guān)于UDP端口的信息,第一消息的接收者應(yīng)當(dāng)將例如“200OK”之類的答復(fù)發(fā)送到UDP端口。在所謂的SDP描述符(SDP為會(huì)話描述協(xié)議)中,SIP消息包含關(guān)于用戶代理客戶端(UAC)即主叫方和用戶代理服務(wù)器(UAS)即被叫方的信息,包括諸如IP地址和UDP端口之類的用于媒體流的通過(guò)所謂的實(shí)時(shí)傳輸協(xié)議(RTP)來(lái)進(jìn)行傳輸?shù)膮?shù)。
對(duì)于位于在諸如具有地址轉(zhuǎn)換設(shè)備的防火墻之類的常用設(shè)備之后的私有IP區(qū)域中的終端,SDP描述符中通常會(huì)引用私有IP地址,并且因此不能從私有IP區(qū)域的外部對(duì)這些終端進(jìn)行編址,并且因此這些終端是不可訪問(wèn)的。由于通常使用的地址轉(zhuǎn)換設(shè)備僅操作于OSI模型(OSI為開(kāi)放系統(tǒng)互連)的第3層和/或第4層中的私有IP區(qū)域和公共IP區(qū)域之間的過(guò)渡區(qū)域,因此在此情況下僅轉(zhuǎn)換在UDP協(xié)議或IP協(xié)議的頭中引用的那些IP地址和端口。在SIP協(xié)議或UDP協(xié)議中引用的IP地址和端口包含在所謂的UDP有效載荷中并且未被地址轉(zhuǎn)換設(shè)備轉(zhuǎn)換,這使得在UAS和UAC之間交換了用于發(fā)送信號(hào)和RTP媒體流的私有IP地址和端口,利用這些私有IP地址和端口,可以從私有IP區(qū)域的外部對(duì)私有IP區(qū)域中的終端進(jìn)行編址和訪問(wèn)。此外,某些UAC使用兩個(gè)不同的端口來(lái)發(fā)送和接收SIP消息,引起的附加問(wèn)題是即使在防火墻中由諸如“INVITE”之類的SIP消息產(chǎn)生一個(gè)針孔(pinhole),換句話說(shuō)產(chǎn)生一個(gè)用于發(fā)送和接收消息的開(kāi)口,也不可能在SIP消息的VIA條目中所引用的端口處接收到諸如“200OK”之類的消息,這是由于在這種情況下該接收端口無(wú)論如何都與發(fā)送端口不同,在接收端口中沒(méi)有已經(jīng)開(kāi)通的針孔,并且因此通過(guò)防火墻的入口受到阻擋。這種情況還發(fā)生在用不同的UDP端口來(lái)發(fā)送和接收RTP數(shù)據(jù)包的雙向RTP媒體流中,因此此時(shí)也會(huì)出現(xiàn)上述問(wèn)題。
目前在討論的對(duì)于上述問(wèn)題的解決方案的有例如UDP對(duì)NAT的簡(jiǎn)單穿越(STUN)(NAT為網(wǎng)絡(luò)地址翻譯器)或使用中繼NAT的穿越(TURN)之類的所謂的輔助協(xié)議(helper protocol),借助于這些協(xié)議,在私有IP地址和公共IP地址和端口之間建立連接,并且還要在防火墻中開(kāi)通針孔,實(shí)現(xiàn)雙向RTP媒體流。但是這些解決方案需要在公共IP區(qū)域中安裝例如服務(wù)器之類的額外的硬件,并且此外例如SIP電話之類的終端必須配備用于評(píng)估和使用地址轉(zhuǎn)換的特殊能力。此外,因?yàn)檎麄€(gè)信號(hào)發(fā)送和媒體業(yè)務(wù)必須經(jīng)由一個(gè)單獨(dú)的服務(wù)器來(lái)進(jìn)行,所以基于TURN協(xié)議的方案很難升級(jí)。此外,這些方法僅部分地支持例如完全錐形NAT、受限錐形NAT、端口受限錐形NAT、對(duì)稱NAT等不同種類的地址轉(zhuǎn)換。
解決該問(wèn)題的另一個(gè)方法是基于來(lái)自應(yīng)用層的SIP信息使用由諸如MIDCOM、MEGACO/H.248或UpnP之類的控制協(xié)議控制的具有地址轉(zhuǎn)換設(shè)備的防火墻。但是,這一方面需要對(duì)具有地址轉(zhuǎn)換設(shè)備的防火墻的多樣性進(jìn)行升級(jí)或替換,并且另一方面需要安裝中心控制單元或分散的控制單元。
最后,全行業(yè)的協(xié)議還可以采納將私有區(qū)域中具有地址轉(zhuǎn)換設(shè)備的防火墻完全替換為具有SIP識(shí)別能力的設(shè)備,從而使該設(shè)備能夠?qū)崿F(xiàn)對(duì)用于發(fā)送和接收消息的不同UDP端口的利用。
所有上述方法都只能部分地解決所提及的問(wèn)題,或者這些方法成本很高且非常復(fù)雜。

發(fā)明內(nèi)容
本發(fā)明的目的是產(chǎn)生改善上述情況的方法。
根據(jù)本發(fā)明,該目的由用于通過(guò)信令協(xié)議經(jīng)由所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻來(lái)為端用戶與服務(wù)提供商域之間的雙向端到端連接設(shè)定路由的方法來(lái)達(dá)到,其中使用安全和隧道設(shè)備,其位于端用戶與端用戶域中具有地址轉(zhuǎn)換設(shè)備的防火墻之間的端到端連接中,并且其中使用會(huì)話邊界控制器,其位于服務(wù)提供商域中的端到端連接中,在安全和隧道設(shè)備與會(huì)話邊界控制器之間建立一個(gè)隧道,并且經(jīng)由該隧道在安全和隧道設(shè)備與會(huì)話邊界控制器之間的區(qū)域內(nèi)的端用戶與服務(wù)提供商域之間通過(guò)隧道協(xié)議進(jìn)行雙向數(shù)據(jù)交換,本發(fā)明還涉及一種用于執(zhí)行用于通過(guò)會(huì)話初始協(xié)議(SIP)經(jīng)由所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻來(lái)為端用戶與服務(wù)提供商域之間的雙向端到端連接設(shè)定路由的方法的電信網(wǎng)絡(luò),其中包括安全和隧道設(shè)備,其位于端用戶與端用戶域中具有地址轉(zhuǎn)換設(shè)備的防火墻之間的端到端連接中,其中包括會(huì)話邊界控制器,其位于服務(wù)提供商域中的端到端連接中,其中安全和隧道設(shè)備具有用于在該安全和隧道設(shè)備與會(huì)話邊界控制器之間建立隧道的裝置,并且其中安全和隧道設(shè)備以及會(huì)話邊界控制器具有用于經(jīng)由該隧道在安全和隧道設(shè)備與會(huì)話邊界控制器之間的區(qū)域內(nèi)的端用戶與服務(wù)供應(yīng)商域之間通過(guò)隧道協(xié)議進(jìn)行雙向數(shù)據(jù)交換的裝置,本發(fā)明還涉及一種用于執(zhí)行用于通過(guò)SIP協(xié)議經(jīng)由所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻來(lái)為端用戶與服務(wù)提供商域之間的雙向端到端連接設(shè)定路由的方法的電信網(wǎng)絡(luò)中的安全和隧道設(shè)備,其中安全和隧道設(shè)備具有用于在該安全和隧道設(shè)備與位于服務(wù)提供商域中的端到端連接中的會(huì)話邊界控制器之間建立隧道的裝置,并且安全和隧道設(shè)備具有用于經(jīng)由該隧道在安全和隧道設(shè)備與會(huì)話邊界控制器之間的區(qū)域內(nèi)的端用戶與服務(wù)供應(yīng)商域之間通過(guò)隧道協(xié)議進(jìn)行雙向數(shù)據(jù)交換的裝置。
本發(fā)明的基本思想是在與所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻的雙向端到端連接中,為了發(fā)送語(yǔ)音數(shù)據(jù)或多媒體數(shù)據(jù),在端用戶域和服務(wù)提供商域之間經(jīng)由隧道同時(shí)發(fā)送例如通過(guò)SIP協(xié)議用于信令的數(shù)據(jù)包和包含例如RTP格式的媒體內(nèi)容的數(shù)據(jù)包。服務(wù)提供商一側(cè)的隧道終點(diǎn)形成會(huì)話邊界控制器(SBC),包括SIP代理服務(wù)器(例如背對(duì)背用戶代理)和媒體交換單元的功能,并且端用戶一側(cè)的隧道終點(diǎn)形成建立隧道并優(yōu)選地由服務(wù)提供商提供和檢查的安全和隧道設(shè)備。然后,在安全和隧道設(shè)備中檢測(cè)由例如SIP電話之類的UAC發(fā)往SBC的數(shù)據(jù)包,并且在將其封裝到隧道協(xié)議中之后經(jīng)由隧道發(fā)送到各自的負(fù)責(zé)的SBC。安全和隧道設(shè)備的IP地址和端口的另一種轉(zhuǎn)換在具有地址轉(zhuǎn)換設(shè)備的防火墻中進(jìn)行。在將數(shù)據(jù)包封裝到隧道協(xié)議中之前,也可以在安全和隧道設(shè)備中對(duì)其進(jìn)行有選擇的加密。作為查詢答復(fù)的數(shù)據(jù)將要發(fā)送到的UAC的私有IP地址與私有端口之間的聯(lián)系以及安全和隧道設(shè)備的IP地址和端口存儲(chǔ)在會(huì)話邊界控制器(SBC)中。通過(guò)這種方式,可以得到關(guān)于信令和媒體數(shù)據(jù)中的UAC的私有信息,例如UAC的私有IP地址。將要從服務(wù)提供商域發(fā)送到端用戶域中的UAC的作為查詢答復(fù)的數(shù)據(jù)發(fā)送到適當(dāng)?shù)腟BC,在其中有選擇地對(duì)這些數(shù)據(jù)進(jìn)行加密,然后將其封裝到隧道協(xié)議中,并且然后將其發(fā)送到端用戶域中的適當(dāng)?shù)陌踩退淼涝O(shè)備的IP地址和端口。這樣就可以由具有作為查詢答復(fù)的數(shù)據(jù)要發(fā)送到的UAC的私有IP地址和私有端口的隧道的IP地址和端口的組合來(lái)保證UAC地址的唯一性,即通過(guò)將數(shù)據(jù)包嵌入包含UAC的私有IP地址和私有端口作為接收機(jī)地址的隧道包中來(lái)保證UAC地址的唯一性。
在從屬權(quán)利要求和下面的說(shuō)明中給出本發(fā)明的進(jìn)一步的配置。


下面借助于附圖對(duì)本發(fā)明進(jìn)行進(jìn)一步的解釋。
圖1通過(guò)示例的方式示出了可以實(shí)現(xiàn)本發(fā)明的網(wǎng)絡(luò)環(huán)境。
具體實(shí)施例方式
圖1中示出的根據(jù)本發(fā)明的電信網(wǎng)絡(luò)包括端用戶域DE和服務(wù)提供商域DD。端用戶域DE包括諸如在此作為示例示出的電話TP和計(jì)算機(jī)PC之類的終端,路由器或交換機(jī)RS,根據(jù)本發(fā)明的安全和隧道設(shè)備STG,以及具有地址轉(zhuǎn)換設(shè)備的防火墻FW/NAP,該具有地址轉(zhuǎn)換設(shè)備的防火墻FW/NAP不僅具有用于轉(zhuǎn)換IP地址的裝置,還具有用于轉(zhuǎn)換端口的裝置。服務(wù)提供商域依次包括路由器R和會(huì)話邊界控制器SBC,該會(huì)話邊界控制器SBC依次包括媒體單元ME和信令單元SE。在端用戶域DE中,電話TP和計(jì)算機(jī)PC視情況連接到路由器或交換機(jī)RS,該路由器或交換機(jī)RS依次連接到安全和隧道設(shè)備STG。再?gòu)陌踩退淼涝O(shè)備STG連接到具有地址轉(zhuǎn)換設(shè)備的防火墻FW/NAPT。端用戶域DE一方面經(jīng)由具有地址轉(zhuǎn)換設(shè)備的防火墻FW/NAPT與路由器R之間的標(biāo)準(zhǔn)連接SV連接到服務(wù)提供商域DD,并且另一方面經(jīng)由在具有地址轉(zhuǎn)換設(shè)備的防火墻FW/NAPT與信令單元SE和媒體單元ME之間的隧道連接TV連接到服務(wù)提供商域DD。路由器R和會(huì)話邊界控制器SBC可以進(jìn)一步連接到網(wǎng)元,例如服務(wù)器、網(wǎng)關(guān)或圖1中未畫(huà)出的服務(wù)提供商域DD內(nèi)外的用戶裝置。
根據(jù)本發(fā)明的安全和隧道設(shè)備STG具有用于接收和發(fā)送數(shù)據(jù)的裝置和諸如隨機(jī)存取存儲(chǔ)器(RAM)之類的存儲(chǔ)數(shù)據(jù)的裝置。安全和隧道設(shè)備STG還額外地具有用于檢查數(shù)據(jù)包的接收者地址的裝置和用于通過(guò)封裝數(shù)據(jù)包來(lái)建立隧道連接的裝置,例如將IP數(shù)據(jù)包或MAC數(shù)據(jù)包(MAC為媒體訪問(wèn)控制)封裝為例如IP隧道包之類的隧道包。
在又一實(shí)施例中,安全和隧道設(shè)備STG具有用于通過(guò)保持激活(keep-alive)機(jī)制來(lái)使安全和隧道設(shè)備STG通過(guò)具有地址轉(zhuǎn)換設(shè)備的防火墻FW/NAPT到會(huì)話邊界控制器SBC之間的連接保持開(kāi)通的裝置。
在又一實(shí)施例中,安全和隧道設(shè)備STG具有用于在通過(guò)隧道協(xié)議將數(shù)據(jù)封裝為隧道包并經(jīng)由隧道TV將其發(fā)送到會(huì)話邊界控制器SBC之前對(duì)數(shù)據(jù)進(jìn)行加密的裝置以及/或者用于對(duì)這些隧道包的有效載荷進(jìn)行加密的裝置。
在又一實(shí)施例中,安全和隧道設(shè)備STG具有用于檢查包含在由會(huì)話邊界控制器SBC發(fā)送并由安全和隧道設(shè)備STG接收的數(shù)據(jù)中的關(guān)于會(huì)話邊界控制器SBC的信息的裝置。
在根據(jù)本發(fā)明的方法中,在例如基于UDP的雙向端到端連接的構(gòu)架中例如通過(guò)SIP協(xié)議發(fā)送用于信令的數(shù)據(jù)包并且發(fā)送包含例如RTP格式的媒體內(nèi)容的數(shù)據(jù)包。將發(fā)自用作例如SIP電話之類的UAC的終端PC或TP之一的數(shù)據(jù)包發(fā)往會(huì)話邊界控制器SBC。數(shù)據(jù)包經(jīng)由路由器或交換機(jī)RS從終端TP和PC到達(dá)安全和隧道設(shè)備STG。為此,必須確保將安全和隧道設(shè)備STG安裝于端用戶域中的網(wǎng)絡(luò)位置,經(jīng)由安全和隧道設(shè)備STG發(fā)送全部與例如語(yǔ)音或多媒體相關(guān)的全部相關(guān)數(shù)據(jù)業(yè)務(wù)。這種網(wǎng)絡(luò)位置是例如SOHO路由器(SOHO為小辦公室/在家辦公)的LAN端口(LAN為局域網(wǎng)),或者在ADSL調(diào)制解調(diào)器(ADSL為非對(duì)稱數(shù)字用戶線)與SOHU路由器之間,其中對(duì)于最后的位置,安全和隧道設(shè)備STG必須理解所謂的點(diǎn)到點(diǎn)協(xié)議(PPP),并且其必須額外地確保SOHO路由器允許適當(dāng)?shù)臄?shù)據(jù)包通過(guò)。為了便于觀察,圖1中既未示出SOHO路由器也未示出ADSL調(diào)制解調(diào)器。在安全和隧道設(shè)備STG中檢測(cè)發(fā)往會(huì)話邊界控制器SBC的數(shù)據(jù)包,然后通過(guò)隧道協(xié)議將諸如IP數(shù)據(jù)包或MAC數(shù)據(jù)包之類的適當(dāng)?shù)臄?shù)據(jù)包封裝為諸如IP隧道包之類的隧道包,并且在安全和隧道設(shè)備STG與會(huì)話邊界控制器SBC之間建立隧道TV。
在一個(gè)有利的實(shí)施例中,在將數(shù)據(jù)包封裝為隧道包之前,例如通過(guò)IPsec協(xié)議在安全和隧道設(shè)備STG中對(duì)數(shù)據(jù)包進(jìn)行加密并且/或者對(duì)隧道包的有效載荷進(jìn)行加密。由于會(huì)話邊界控制器SBC和安全和隧道設(shè)備STG在同一個(gè)服務(wù)提供商的控制之下,因此可以在較低安全水平下由低成本解決方案來(lái)完成加密,在本示例中這可以通過(guò)由具有縮減的密鑰的IPsec協(xié)議進(jìn)行加密來(lái)實(shí)現(xiàn)。通過(guò)所謂的智能卡,可以將私有密鑰和/或公共密鑰預(yù)配置在安全和隧道設(shè)備STG和/或會(huì)話邊界控制器SBC中,或者私有密鑰和/或公共密鑰可以由服務(wù)提供商來(lái)分發(fā)。
在又一有利的實(shí)施例中,在安全和隧道設(shè)備STG中檢測(cè)例如接收到的數(shù)據(jù)包的發(fā)送者IP地址之類的關(guān)于與會(huì)話邊界控制器SBC有關(guān)的隧道的終點(diǎn)信息,以保護(hù)端用戶域免受來(lái)自公用網(wǎng)的攻擊,但是這需要預(yù)先假定識(shí)別和阻止IP地址的產(chǎn)生的接入網(wǎng)基礎(chǔ)設(shè)施。
并非發(fā)往會(huì)話邊界控制器SBC的數(shù)據(jù)包透明地通過(guò)安全和隧道設(shè)備STG,并通過(guò)標(biāo)準(zhǔn)連接SV經(jīng)由具有地址轉(zhuǎn)換設(shè)備的防火墻FW/NAPT和公共通信網(wǎng)絡(luò)到達(dá)服務(wù)提供商域DD中的路由器R。將隧道數(shù)據(jù)從安全和隧道設(shè)備STG發(fā)送到具有地址轉(zhuǎn)換設(shè)備的防火墻FW/NAPT,并在該處進(jìn)行安全和隧道設(shè)備STG的IP地址和端口的轉(zhuǎn)換,之后在隧道包經(jīng)由隧道TV通過(guò)服務(wù)提供商域DD中的公共通信網(wǎng)絡(luò)到達(dá)并在該處由會(huì)話邊界控制器SBC接收。在會(huì)話邊界控制器SBC中,信令數(shù)據(jù)到達(dá)信令單元SE中,例如到達(dá)SIP代理服務(wù)器中,并且媒體數(shù)據(jù)到達(dá)媒體單元ME中,例如到達(dá)媒體代理服務(wù)器中。如果到來(lái)的數(shù)據(jù)是加密的,就需要在會(huì)話邊界控制器中額外地對(duì)其進(jìn)行解密。作為查詢答復(fù)的數(shù)據(jù)將要發(fā)送到的UAC的私有IP地址和私有端口之間的聯(lián)系以及安全和隧道設(shè)備STG的IP地址和端口存儲(chǔ)在會(huì)話邊界控制器SBC中,因此可以得到關(guān)于信令數(shù)據(jù)和媒體數(shù)據(jù)中的UAC的私有信息,例如UAC的私有IP地址。
將數(shù)據(jù)從信令單元SE或媒體單元ME轉(zhuǎn)發(fā)到服務(wù)提供商域DD內(nèi)外的適當(dāng)?shù)哪康牡氐刂?。將?shù)據(jù)包從這些目的地地址發(fā)送到適當(dāng)?shù)臅?huì)話邊界控制器SBC,作為對(duì)來(lái)自UAC的消息的答復(fù)。同時(shí),信令數(shù)據(jù)到達(dá)信令單元SE中,并且媒體數(shù)據(jù)到達(dá)媒體裝置ME中。在會(huì)話邊界控制器SBC中,通過(guò)隧道協(xié)議將適當(dāng)?shù)臄?shù)據(jù)包封裝為隧道包并經(jīng)由隧道TV將其發(fā)送到安全和隧道設(shè)備STG,并且這些隧道包首先到達(dá)具有地址轉(zhuǎn)換設(shè)備的防火墻FW/NAPT。
在一個(gè)有利的實(shí)施例中,例如在通過(guò)IPsec協(xié)議將數(shù)據(jù)包封裝為隧道包之前在會(huì)話邊界控制器中對(duì)其進(jìn)行加密并且/或者對(duì)隧道包的有效載荷進(jìn)行加密。由于作為查詢答復(fù)的數(shù)據(jù)將要發(fā)送到的UAC的私有IP地址和私有端口之間的聯(lián)系和安全和隧道設(shè)備STG的IP地址和端口在會(huì)話邊界控制器SBC中是已知的,因此UAC接收者地址的唯一性得到了保證,即例如嵌入隧道包中的數(shù)據(jù)包包含UAC的私有IP地址和私有端口作為接收者地址。
通常,在會(huì)話邊界控制器SBC中實(shí)現(xiàn)一種機(jī)制,其中通過(guò)重復(fù)發(fā)送消息到安全和隧道設(shè)備STG的IP地址和端口,使通過(guò)防火墻的連接保持開(kāi)通。如果在會(huì)話邊界控制器SBC中不能實(shí)現(xiàn)這種機(jī)制,則可以在安全和隧道設(shè)備中有選擇地實(shí)現(xiàn)所謂的保持激活(keep-alive)機(jī)制,以便使通過(guò)防火墻的連接保持開(kāi)通。此時(shí)在具有地址轉(zhuǎn)換設(shè)備的防火墻FW/NAPT中,執(zhí)行對(duì)安全和隧道設(shè)備STG的IP地址和端口的重新轉(zhuǎn)換,并將數(shù)據(jù)轉(zhuǎn)發(fā)到安全和隧道設(shè)備STG的IP地址和端口。在安全和隧道設(shè)備STG中,將隧道包再次解封,并且如有必要還要對(duì)其進(jìn)行解密,并且將包含在隧道包中的數(shù)據(jù)包發(fā)送到包含在數(shù)據(jù)包中的UAC的私有IP地址和私有端口。
權(quán)利要求
1.一種用于通過(guò)信令協(xié)議經(jīng)由所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻來(lái)為端用戶與服務(wù)提供商域之間的雙向端到端連接設(shè)定路由的方法,其中使用安全和隧道設(shè)備,其位于端用戶與端用戶域中具有地址轉(zhuǎn)換設(shè)備的防火墻之間的端到端連接中,并且其中使用會(huì)話邊界控制器,其位于服務(wù)提供商域中的端到端連接中,在所述安全和隧道設(shè)備與所述會(huì)話邊界控制器之間建立一個(gè)隧道,并且經(jīng)由所述隧道在所述安全和隧道設(shè)備與所述會(huì)話邊界控制器之間的區(qū)域內(nèi)的端用戶與服務(wù)提供商域之間通過(guò)隧道協(xié)議進(jìn)行雙向數(shù)據(jù)交換。
2.根據(jù)權(quán)利要求1所述的方法,其中在通過(guò)隧道協(xié)議將數(shù)據(jù)封裝為隧道包并經(jīng)由所述隧道將其發(fā)送到所述會(huì)話邊界控制器之前,通過(guò)所述安全和隧道設(shè)備來(lái)對(duì)這些數(shù)據(jù)進(jìn)行加密并且/或者其中通過(guò)所述安全和隧道設(shè)備來(lái)對(duì)這些隧道包的有效載荷進(jìn)行加密。
3.根據(jù)權(quán)利要求1所述的方法,其中在通過(guò)隧道協(xié)議將數(shù)據(jù)封裝為隧道包并經(jīng)由所述隧道將其發(fā)送到安全和隧道設(shè)備之前,通過(guò)所述會(huì)話邊界控制器來(lái)對(duì)這些數(shù)據(jù)進(jìn)行加密并且/或者其中通過(guò)所述會(huì)話邊界控制器來(lái)對(duì)這些隧道包的有效載荷進(jìn)行加密。
4.根據(jù)權(quán)利要求1所述的方法,其中通過(guò)所述安全和隧道設(shè)備來(lái)檢查由所述會(huì)話邊界控制器發(fā)送并由所述安全和隧道設(shè)備接收的數(shù)據(jù)中包含的關(guān)于所述會(huì)話邊界控制器的信息。
5.根據(jù)權(quán)利要求1所述的方法,其中通過(guò)保持激活機(jī)制來(lái)使所述安全和隧道設(shè)備與所述會(huì)話邊界控制器之間的通過(guò)具有地址轉(zhuǎn)換設(shè)備的防火墻的連接保持開(kāi)通。
6.一種用于執(zhí)行用于通過(guò)會(huì)話初始協(xié)議經(jīng)由所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻來(lái)為端用戶與服務(wù)提供商域之間的雙向端到端連接設(shè)定路由的方法的電信網(wǎng)絡(luò),其中包括安全和隧道設(shè)備,其位于端用戶與端用戶域具有地址轉(zhuǎn)換設(shè)備的防火墻之間的端到端連接中,其中包括會(huì)話邊界控制器,其位于服務(wù)提供商域中的端到端連接中,其中所述安全和隧道設(shè)備具有可用于在所述安全和隧道設(shè)備與所述會(huì)話邊界控制器之間建立隧道的裝置,并且其中所述安全和隧道設(shè)備和所述會(huì)話邊界控制器具有用于經(jīng)由所述隧道在所述安全和隧道設(shè)備與所述會(huì)話邊界控制器之間的區(qū)域內(nèi)的端用戶與服務(wù)供應(yīng)商域之間通過(guò)隧道協(xié)議進(jìn)行雙向數(shù)據(jù)交換的裝置。
7.根據(jù)權(quán)利要求6所述的電信網(wǎng)絡(luò),其中所述安全和隧道設(shè)備具有用于在通過(guò)隧道協(xié)議將數(shù)據(jù)封裝為隧道包并經(jīng)由所述隧道將其發(fā)送到所述會(huì)話邊界控制器之前對(duì)這些數(shù)據(jù)進(jìn)行加密并且/或者對(duì)這些隧道包的有效載荷進(jìn)行加密的裝置。
8.根據(jù)權(quán)利要求6所述的電信網(wǎng)絡(luò),其中所述會(huì)話邊界控制器具有用于在通過(guò)隧道協(xié)議將數(shù)據(jù)封裝為隧道包并經(jīng)由所述隧道將其發(fā)送到所述安全和隧道設(shè)備之前對(duì)這些數(shù)據(jù)進(jìn)行加密并且/或者對(duì)這些隧道包的有效載荷進(jìn)行加密的裝置。
9.根據(jù)權(quán)利要求6所述的電信網(wǎng)絡(luò),其中所述安全和隧道設(shè)備具有用于檢查由所述會(huì)話邊界控制器發(fā)送并由所述安全和隧道設(shè)備接收的數(shù)據(jù)中包含的關(guān)于所述會(huì)話邊界控制器的信息的裝置。
10.根據(jù)權(quán)利要求6所述的電信網(wǎng)絡(luò),其中安全和隧道設(shè)備具有用于通過(guò)保持激活機(jī)制使所述安全和隧道設(shè)備與所述會(huì)話邊界控制器之間通過(guò)具有地址轉(zhuǎn)換設(shè)備的防火墻的連接保持開(kāi)通的裝置。
11.一種用于執(zhí)行用于通過(guò)會(huì)話初始協(xié)議經(jīng)由所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻來(lái)為端用戶與服務(wù)提供商域之間的雙向端到端連接設(shè)定路由的方法的電信網(wǎng)絡(luò)中的安全和隧道設(shè)備,其中所述安全和隧道設(shè)備具有用于在所述安全和隧道設(shè)備與位于服務(wù)提供商域中的端到端連接中的所述會(huì)話邊界控制器之間建立隧道的裝置,并且所述安全和隧道設(shè)備具有用于經(jīng)由所述隧道在所述安全和隧道設(shè)備與所述會(huì)話邊界控制器之間的區(qū)域內(nèi)的端用戶與服務(wù)供應(yīng)商域之間通過(guò)隧道協(xié)議進(jìn)行雙向數(shù)據(jù)交換的裝置。
12.根據(jù)權(quán)利要求11所述的安全和隧道設(shè)備,其中所述安全和隧道設(shè)備具有用于通過(guò)保持激活機(jī)制使所述安全和隧道設(shè)備與所述會(huì)話邊界控制器之間通過(guò)防火墻的連接保持開(kāi)通的裝置。
13.根據(jù)權(quán)利要求11所述的安全和隧道設(shè)備,其中所述安全和隧道設(shè)備具有用于在通過(guò)隧道協(xié)議將數(shù)據(jù)封裝為隧道包并經(jīng)由所述隧道將其發(fā)送到所述會(huì)話邊界控制器之前對(duì)這些數(shù)據(jù)進(jìn)行加密并且/或者對(duì)這些隧道包的有效載荷進(jìn)行加密的裝置。
14.根據(jù)權(quán)利要求11所述的安全和隧道設(shè)備,其中所述安全和隧道設(shè)備具有用于檢查由所述會(huì)話邊界控制器發(fā)送并由所述安全和隧道設(shè)備接收的數(shù)據(jù)中包含的關(guān)于所述會(huì)話邊界控制器的信息的裝置。
全文摘要
本發(fā)明涉及一種通過(guò)信令協(xié)議經(jīng)由所插入的具有地址轉(zhuǎn)換設(shè)備的防火墻來(lái)為端用戶與服務(wù)提供商域之間的雙向端到端連接設(shè)定路由的方法,其中使用安全和隧道設(shè)備,其位于端用戶與端用戶域中具有地址轉(zhuǎn)換設(shè)備的防火墻之間的端到端連接中,并且其中使用會(huì)話邊界控制器,其位于服務(wù)提供商域中的端到端連接中,在安全和隧道設(shè)備與會(huì)話邊界控制器之間建立一個(gè)隧道,并且經(jīng)由該隧道在安全和隧道設(shè)備與會(huì)話邊界控制器之間的區(qū)域內(nèi)的端用戶與服務(wù)提供商域之間通過(guò)隧道協(xié)議進(jìn)行雙向數(shù)據(jù)交換,本發(fā)明還涉及一種用于執(zhí)行該方法的電信網(wǎng)絡(luò)和安全和隧道設(shè)備。
文檔編號(hào)H04L29/06GK1758653SQ20051010536
公開(kāi)日2006年4月12日 申請(qǐng)日期2005年9月23日 優(yōu)先權(quán)日2004年10月4日
發(fā)明者彼得·多姆席特茨, 卡斯滕·奧伯萊 申請(qǐng)人:阿爾卡特公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1